Eine Schwachstelle im Sicherheitssystem des populären PC-Spiels „Call of Duty“ ermöglichte es einem einzelnen Hacker, tausende unbescholtene Spieler zu sperren.
Der Hacker, der unter dem Pseudonym „Vizor“ agiert, nutzte dabei eine fundamentale Schwäche im „Ricochet“ genannten Anti-Betrugs-System des Spieleherstellers Activision aus. Das System, das 2021 eingeführt wurde und auf Kernel-Ebene des Betriebssystems operiert, sollte eigentlich Spieler vor Betrügern schützen. Die Spieleindustrie investiert erhebliche Ressourcen in die Entwicklung von Schutzsystemen und stellt vermehrt Cybersecurity-Spezialisten ein, während gleichzeitig ein lukrativer Schwarzmarkt für Betrugssoftware floriert. Ironischerweise wurde das System selbst zur Waffe gegen die legitime Spielerschaft.
Die Methode war von bestechender Einfachheit und hat eigentlich gar nichts mit regulärem Hacken zu tun: Das Sicherheitssystem fahndete nach bestimmten vordefinierten Textpassagen, die üblicherweise mit Betrugssoftware in Verbindung gebracht werden. „Vizor“ entdeckte, dass es ausreichte, diese Begriffe in privaten Nachrichten an andere Spieler zu versenden, um deren automatische Sperrung auszulösen. Es geht also um eine einprogrammierte Liste bestimmter Textbausteine, die als Signaturen zur Erkennung von Betrügern dienten. Einer dieser Textbausteine war beispielsweise der Begriff „Trigger Bot“ – eine Bezeichnung für eine Betrugssoftware, um Vorteile in dem Multiplayer-Spiel zu erlangen. „Ich hätte dies jahrelang fortführen können, solange ich nur zufällige Spieler ins Visier nahm und keine bekannten Persönlichkeiten“, erklärte der Hacker gegenüber dem Technologieportal TechCrunch.
Erst im Oktober räumte Activision ein, dass eine „kleine Anzahl“ legitimer Spielerkonten von einer Störung des Anti-Betrugs-Systems betroffen gewesen sei. Man habe die Schwachstelle zudem ausgemerzt. Diese Darstellung steht in deutlichem Kontrast zu den Aussagen des Hackers, der von „tausenden und abertausenden“ zu Unrecht gesperrten Spielern spricht.
Der Fall wirft grundsätzliche Fragen zur Architektur von Spielesicherheitssystemen auf. Die Praxis, Spieler allein aufgrund des Vorhandenseins bestimmter Textpassagen zu sperren, erscheint im Nachhinein als fahrlässig simpel. „Das Scannen eines so großen Speicherbereichs nach ASCII-Zeichenketten und das darauf basierende Sperren von Spielern ist äußerst anfällig für Falscherkennungen“, kritisiert „Vizor“ die technische Implementierung des Systems.